Iranische Hacker geben sich als Journalisten aus
IT-Agenten des Iran geben sich als Journalisten aus und führen "Interviews", um das Vertrauen ihrer Opfer zu erschleichen. Die Angreifer lernen von Nordkorea.
Sicherheitsforscher nennen die iranische Kampagne "Charming Kitten".
(Bild: Daniel AJ Sokolov)
Staatliche Hacker des Iran geben sich als Farsi sprechende Journalisten der Deutschen Welle und der US-Wochenzeitung Jewish Journal aus. Für ihre falschen Identitäten legen die Angreifer schöne LinkedIn-Konten an. Zudem greifen sie zum Telefon und rufen ihre Opfer über WhatsApp an, um vorgeblich Interviews zu führen oder ein angebliches Webinar vorzubereiten, in dem das Opfer als Hauptredner auftreten soll. Ziel des mehrstufigen Vorgehens ist, das Vertrauen der Opfer zu erschleichen, damit sie dann Links in E-Mails zu Phishing-Seiten folgen oder angehängte Malware-Dateien öffnen.
Das geht aus einem Untersuchungsbericht der britischen IT Sicherheitsfirma Clearsky hervor, in dem die Kampagne "Charming Kitten" genannt wird, zu Deutsch "Bezaubernde Kätzchen". Die Angreifer haben sich laut Bericht deutsche Telefonnummern zugelegt, um echt zu wirken. Völlig neu ist diese ausgefeilte Variante des Social Engineering nicht. Laut Clearsky dürfte Nordkorea hier Vorbild für die iranischen Angreifer gewesen sein.
Nordkorea
Traumjob
Nordkorea schickt laut Clearskys früherer Beobachtung angebliche Arbeitsvermittler aus, die ihren Opfern besonders gute Arbeitsverträge unterbreiten. Entsprechend hat Clearsky die nordkoreanische Kampagne "Dream Job" getauft. Diese Methode hat den speziellen Vorteil, dass die Zielpersonen nicht mit ihren Kollegen oder Vorgesetzten über die Kontaktaufnahme sprechen, weil sie an ein echtes Angebot eines Traumjobs glauben.
Die Iraner gehen mit ihren Anrufen über WhatsApp ein höheres Risiko ein, erkannt zu werden. Entsprechend haben sie sich Identitäten als Farsi-Sprecher zugelegt, um nicht durch unerwartetete Akzente aufzufallen.
(ds)
